セキュリティ保護された外部グループ作業環境のセキュリティを計画する (Windows SharePoint Services)
この記事の内容 :
バックエンド サーバーを保護する
クライアント サーバー通信をセキュリティ保護する
サーバーの全体管理サイトをセキュリティ保護する
セキュリティ保護された設計のチェックリスト
サーバー ロールのセキュリティ強化を計画する
Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
セキュリティ保護された外部環境のためのセキュリティ ガイドラインは、エクストラネット内でのコンテンツのホストを対象としており、社内ネットワークへの一般的なアクセス権を持っていない投稿者と一緒にコンテンツへのグループ作業を行うことが目的となっています。この環境では、社外のパートナーがワークフローに参加することや、社員と協力してコンテンツに関する作業を行うことができます。
セキュリティ保護された外部グループ作業環境に固有の推奨事項がいくつかあります。これらの推奨事項の中には、すべてのソリューションに有効ではないものもあります。
バックエンド サーバーを保護する
セキュリティ保護された外部グループ作業には、インターネットに面したサーバーが必要です。以下のようにバックエンド サーバーを保護することにより、インターネットからのトラフィックへの露出を制限することができます。
データベース サーバーの保護 最低でも、フロントエンド Web サーバーとデータベースをホストするサーバー間にファイアウォールを配置します。環境によっては、データベース サーバーをエクストラネット環境で直接ホストせず、内部ネットワークでホストすることが決められています。
インデックスの役割の保護 インデックス コンポーネントはフロントエンド Web サーバーを介して通信し、サイト内のコンテンツをクロールします。この通信チャネルを保護するには、1 つ以上のインデックス サーバーを使用する専用のフロントエンド Web サーバーを構成することを検討してください。これで、ユーザーがアクセスできないフロントエンド Web サーバーからクロールの通信を分離します。さらに、インターネット インフォメーション サービス (IIS) を構成して、インデックス サーバー (または他のクローラ) だけがアクセスできるように SiteData.asmx (クローラ SOAP サービス) を制限します。コンテンツ クロール専用のフロントエンド Web サーバーを提供することには、メインのフロントエンド Web サーバーの負荷が軽減されてパフォーマンスが向上し、その結果ユーザーの操作性が向上するという利点もあります。
クライアント サーバー通信をセキュリティ保護する
エクストラネット環境でのグループ作業のセキュリティ保護は、クライアント コンピュータとサーバー ファーム環境の間の安全な通信にかかっています。適切な場合は、SSL (Secure Sockets Layer) を使用してクライアント コンピュータとサーバーとの間の通信をセキュリティ保護します。セキュリティを高めるには、以下の点を考慮します。
クライアント コンピュータで証明書を要求します。SSL はクライアント証明書がなくても実装できます。すべてのクライアント コンピュータに証明書を要求することにより、外部グループ作業のセキュリティを向上させることができます。
IPsec を使用します。クライアント コンピュータが IPsec をサポートしている場合は、SSL よりレベルや精度の高いセキュリティが得られるように IPsec ルールを構成できます。
サーバーの全体管理サイトをセキュリティ保護する
ネットワーク領域に社外ユーザーがアクセスできるため、サーバーの全体管理サイトを保護して外部アクセスをブロックし、内部アクセスを保護することが重要です。
サーバーの全体管理サイトがフロントエンド Web サーバーでホストされていないことを確認してください。
サーバーの全体管理サイトへの外部アクセスをブロックします。これは、フロントエンド Web サーバーとサーバーの全体管理サイトをホストするサーバーとの間に、ファイアウォールを配置することによって実現できます。
SSL を使用してサーバーの全体管理サイトを構成します。これにより、内部ネットワークからサーバーの全体管理サイトへの通信がセキュリティ保護されます。
セキュリティ保護された設計のチェックリスト
このデザイン チェックリストを、「サーバー ファームのセキュリティを計画する (Windows SharePoint Services)」内のチェックリストと一緒に使用してください。
トポロジ
[ ] |
フロントエンド Web サーバーとアプリケーション サーバーやデータベース サーバーとの間に少なくとも 1 台のファイアウォールを置いて、バックエンド サーバーを保護します。 |
[ ] |
コンテンツのクロールには、専用のフロントエンド Web サーバーを計画します。このフロントエンド Web サーバーは、エンド ユーザーのフロントエンド Web ローテーションに含めないでください。 |
論理アーキテクチャ
[ ] |
サーバーの全体管理サイトへのアクセスをブロックし、このサイト用の SSL を構成します。 |
[ ] |
SSL を使用するように SSP 管理サイトを構成したり、SSP 管理サイトのホストを専用 Web アプリケーション内で行ったり、SSP 管理サイトへの外部アクセスを拒否するポリシーを構成したりすることによって、SSP 管理サイトをセキュリティ保護します。 |
サーバー ロールのセキュリティ強化を計画する
以下の表は、安全な社外グループ作業環境のためのその他のセキュリティ強化推奨事項を示しています。
| コンポーネント | 推奨事項 |
|---|---|
ポート |
サーバーの全体管理サイトのポートへの外部アクセスをブロックします。 |
IIS |
インデックス サーバー (または他のクローラ) だけがアクセスできるように SiteData.asmx (クローラ SOAP サービス) を制限します。 |
Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
以下の表は、Windows SharePoint Services 3.0 の機能をセキュリティ保護するためのその他の推奨事項を示しています。これらの推奨事項は、セキュリティ保護された外部グループ作業環境に適しています。
| 機能または領域 | 推奨事項 |
|---|---|
認証 |
認証されたユーザーに SSL を使用します。これは、サイトを参照している匿名ユーザーには適用されません。 |
承認 |
セキュリティ ポリシーを使用して、外部ユーザーの権限を制限します (外部ユーザーが行えることを制限する拒否ポリシーを作成します)。 |
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。